✔F6: группировка SiribClone атакует российских военных через Telegram и шпионское ПО - «Новости»

06 июня 2026 0 Новости / Преимущества стилей / Изображения / Видео уроки / Сайтостроение / Вёрстка / Формы / Ссылки 0

По данным исследователей, первые следы активности группы относятся к лету 2025 года. Тестирование собственных инструментов злоумышленники начали в декабре прошлого года, а в январе–феврале 2026 года специалисты зафиксировали атаки на военнослужащих через мессенджеры и сайты знакомств.

Основной целью SiribClone является сбор личных данных, геолокации, переписок, контактов и другой информации, представляющей интерес для военной разведки.

Исследование началось в феврале 2026 года с обнаружения архива «Решение по СВОДУ.zip». Внутри находился LNK-файл, замаскированный под документ Word на военную тематику. При запуске он открывал файл-приманку и одновременно загружал с GitHub вредоносный PowerShell-скрипт.

В итоге специалисты обнаружили ранее неизвестную малварь для Windows, получившую название SiribGrabber. Вредонос использует утилиту rclone для кражи данных и автоматически выгружает на серверы операторов документы, фотографии, видео, архивы и другие файлы. Для закрепления в системе малварь создает BAT- и PowerShell-скрипты и добавляет их в автозагрузку через реестр.

В ходе дальнейшего расследования аналитики обнаружили несколько GitHub-профилей, тестовые конфигурации вредоносов и управляющую инфраструктуру группировки. Особый интерес, по словам специалистов, представлял внутренний инструмент атакующих под названием «КОНТУР», предназначенный для работы с похищенными Telegram-сессиями.

Система позволяла просматривать сообщения скомпрометированных пользователей и содержала заметки по конкретным жертвам. В них злоумышленники указывали геолокацию, должность, звание, принадлежность к воинским частям, а также отмечали, кто из операторов группировки занимался конкретной целью. Подчеркивается, что эти данные прямо указывают на шпионский характер операций SiribClone.

Для компрометации Telegram-аккаунтов злоумышленники использовали десятки фишинговых доменов, замаскированных под облачные сервисы, приглашения в каналы, видеоплатформы и другие легитимные ресурсы. Пользователям предлагали авторизоваться через Telegram, после чего атакующие получали sessionString — специальный токен, обеспечивающий доступ к аккаунту без повторного ввода кода подтверждения.

Кроме того, отдельное направление атак было связано с социальной инженерией. Под видом волонтеров или девушек, желающих познакомиться, злоумышленники вступали в переписку с военнослужащими через Telegram и другие платформы.

После установления доверительных отношений с жертвами, им отправляли ссылки на якобы безопасные сервисы обмена фотографиями, облачные хранилища или формы для получения гуманитарной помощи. В действительности пользователям предлагалось установить вредоносные APK-файлы с названиями вроде Safeintim.apk. Обнаруженный Android-вредонос специалисты назвали SafeLoveStealer.

SafeLoveStealer классифицируется как шпионское ПО, так как после установки приложение собирает сведения об устройстве, данные о сети и Wi-Fi, геолокацию, фотографии, документы, видео- и аудиофайлы. Кроме того, SafeLoveStealer способен записывать звук с микрофона и распознавать речь. По словам исследователей, основная цель вредоноса — получить максимально полный набор личных, технических и географических данных владельца устройства и скрытно передать их своим операторам.

В отчете сообщается, что в мае 2026 года была зафиксирована новая волна активности SiribClone. К примеру, на одном из серверов злоумышленников появился сайт, оформленный в тематике акции «Бессмертный полк». Пользователям предлагали заполнить анкету для участия в онлайн-мероприятии и скачать итоговую заявку. Вместо документов жертвы получали архивы с LNK-файлами, которые запускали обновленную версию SiribGrabber.

В F6 отмечают, что операционная модель SiribClone сочетает социальную инженерию, фишинг, мобильное шпионское ПО и малварь для Windows. По мнению исследователей, группировка продолжает развивать свою инфраструктуру и искать новые способы получения данных военнослужащих ВС РФ.

Специалисты компании F6 сообщили об активности ранее неизвестной кибершпионской группировки SiribClone, которая атакует российских военнослужащих. Злоумышленники используют сразу несколько схем атак: угоняют Telegram-аккаунты с помощью фишинга, распространяют шпионское ПО для Android через социальную инженерию и заражают ПК малварью, маскируя ее под документы на военную тематику. По данным исследователей, первые следы активности группы относятся к лету 2025 года. Тестирование собственных инструментов злоумышленники начали в декабре прошлого года, а в январе–феврале 2026 года специалисты зафиксировали атаки на военнослужащих через мессенджеры и сайты знакомств. Основной целью SiribClone является сбор личных данных, геолокации, переписок, контактов и другой информации, представляющей интерес для военной разведки. Исследование началось в феврале 2026 года с обнаружения архива «Решение по СВОДУ.zip». Внутри находился LNK-файл, замаскированный под документ Word на военную тематику. При запуске он открывал файл-приманку и одновременно загружал с GitHub вредоносный PowerShell-скрипт. В итоге специалисты обнаружили ранее неизвестную малварь для Windows, получившую название SiribGrabber. Вредонос использует утилиту rclone для кражи данных и автоматически выгружает на серверы операторов документы, фотографии, видео, архивы и другие файлы. Для закрепления в системе малварь создает BAT- и PowerShell-скрипты и добавляет их в автозагрузку через реестр. В ходе дальнейшего расследования аналитики обнаружили несколько GitHub-профилей, тестовые конфигурации вредоносов и управляющую инфраструктуру группировки. Особый интерес, по словам специалистов, представлял внутренний инструмент атакующих под названием «КОНТУР», предназначенный для работы с похищенными Telegram-сессиями. Система позволяла просматривать сообщения скомпрометированных пользователей и содержала заметки по конкретным жертвам. В них злоумышленники указывали геолокацию, должность, звание, принадлежность к воинским частям, а также отмечали, кто из операторов группировки занимался конкретной целью. Подчеркивается, что эти данные прямо указывают на шпионский характер операций SiribClone. Для компрометации Telegram-аккаунтов злоумышленники использовали десятки фишинговых доменов, замаскированных под облачные сервисы, приглашения в каналы, видеоплатформы и другие легитимные ресурсы. Пользователям предлагали авторизоваться через Telegram, после чего атакующие получали sessionString — специальный токен, обеспечивающий доступ к аккаунту без повторного ввода кода подтверждения. Кроме того, отдельное направление атак было связано с социальной инженерией. Под видом волонтеров или девушек, желающих познакомиться, злоумышленники вступали в переписку с военнослужащими через Telegram и другие платформы. После установления доверительных отношений с жертвами, им отправляли ссылки на якобы безопасные сервисы обмена фотографиями, облачные хранилища или формы для получения гуманитарной помощи. В действительности пользователям предлагалось установить вредоносные APK-файлы с названиями вроде Safeintim.apk. Обнаруженный Android-вредонос специалисты назвали SafeLoveStealer. SafeLoveStealer классифицируется как шпионское ПО, так как после установки приложение собирает сведения об устройстве, данные о сети и Wi-Fi, геолокацию, фотографии, документы, видео- и аудиофайлы. Кроме того, SafeLoveStealer способен записывать звук с микрофона и распознавать речь. По словам исследователей, основная цель вредоноса — получить максимально полный набор личных, технических и географических данных владельца устройства и скрытно передать их своим операторам. В отчете сообщается, что в мае 2026 года была зафиксирована новая волна активности SiribClone. К примеру, на одном из серверов злоумышленников появился сайт, оформленный в тематике акции «Бессмертный полк». Пользователям предлагали заполнить анкету для участия в онлайн-мероприятии и скачать итоговую заявку. Вместо документов жертвы получали архивы с LNK-файлами, которые запускали обновленную версию SiribGrabber. В F6 отмечают, что операционная модель SiribClone сочетает социальную инженерию, фишинг, мобильное шпионское ПО и малварь для Windows. По мнению исследователей, группировка продолжает развивать свою инфраструктуру и искать новые способы получения данных военнослужащих ВС РФ.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.